giovedì 29 marzo 2018

Microsoft, la patch per correggere Meltdown ha aperto una falla più grave


In passato vi abbiamo spesso parlato di Meltdown (qui e qui) e della sua possibilità di accedere alla memoria della CPU rompendo l'isolamento tra questo e le applicazioni utente. Microsoft aveva messo mano al problema approntando una patch ad hoc per ciascuna versione del proprio sistema operativo. Mentre per le versioni più recenti (da Windows 8 in poi) il problema è stato risolto con successo, ad aver attirato l'attenzione è stata la versione 7, dove non solo la situazione non è stata risolta, ma è stata addirittura aggravata. Per dirla in parole povere, la patch che avrebbe dovuto mettere fine a Meltdown ha invece creato una falla ancor più critica all'interno del Sistema Operativo. L'errore sarebbe stato attribuito agli sviluppatori stessi, rei di aver inserito un bit sbagliato nelle impostazioni responsabili dell'accesso alle aree protette di memoria consentendo il libero accesso a sezioni del kernel normalmente ristrette. 

Vulnerabilità "home made" 
Come ha spiegato Ulf Frisk, esperto di sicurezza, la vulnerabilità prodotta dalla patch (assai simile negli effetti, paradosso del paradosso, a quella che si voleva risolvere) rappresenta una vera e propria scorciatoia per accedere in modo ancor più rapido ad una sezione di memoria ben più ampia che con Meltdown e permettendo inoltre di modificarne il contenuto. Volendo essere più precisi, la prima patch è stata distribuita a Gennaio e le versioni di Windows 7 che sono state colpite da questa vulnerabilità "home made" sono state la  64 bit di Windows 7 e Windows Server 2008 R2.

Fig.1

Fig. 2
Nella figura 1 possiamo vedere il dumping dei dati effettuato tramite Meltdown, nella figura 2 quello eseguito sfruttando la "nuova" vulnerabilità. La velocità di esecuzione tramite la seconda modalità è considerevolmente maggiore. 

Come risolvere il problema
Il problema sembra ormai essere comunque risolto grazie ai recenti aggiornamenti rilasciati a Marzo. Di fatto, possiamo dire che la segnalazione di Frisk è arrivata in concomitanza con la risoluzione stessa del problema.  A coloro che utilizzano le versioni precedentemente menzionate basterà dunque controllare di aver installato correttamente questi ultimi aggiornamenti per non essere più esposti alla minaccia. Come già specificato, non è stato registrato alcun problema per i possessori delle versioni più aggiornate di Windows ai quali, comunque, consigliamo di controllare ed installare la patch rilasciata di recente. 

Nessun commento:

Posta un commento